Vous êtes sur la page 1sur 50

Microsoft Official Course

Module 5

Implémentation d'une infrastructure


de stratégie de groupe
Vue d'ensemble du module

• Présentation de la stratégie de groupe


• Implémentation et administration des objets de
stratégie de groupe
• Étendue de la stratégie de groupe et traitement
de la stratégie de groupe
• Dépanner l'application des objets de stratégie de
groupe
Leçon 1: Présentation de la stratégie de groupe

• Qu'est-ce que la gestion de la configuration ?


• Vue d'ensemble des stratégies de groupe
• Avantages de l'utilisation de la stratégie de
groupe
• Objets de stratégie de groupe
• Étendue des objets de stratégie de groupe
• Client de stratégie de groupe et extensions côté
client
• Démonstration : Procédure de création d'un objet
de stratégie de groupe et configurer ses
paramètres
Qu'est-ce que la gestion de la configuration ?

• La gestion de la configuration est une approche


centralisée à appliquer à une ou plusieurs
modifications d'un ou plusieurs utilisateurs ou
ordinateurs

• Les éléments clés de la gestion de la configuration


sont les suivants :
• Paramètre
• Étendue
• Application
Vue d'ensemble des stratégies de groupe

• Le composant le plus précis de la stratégie de


groupe est connu sous le terme « stratégie » et
définit une modification de configuration
spécifique
Un paramètre de stratégie peut avoir trois états :
• Non configuré

• Activé

• Désactivé

• Beaucoup de paramètres de stratégie sont


complexes, et leur activation ou désactivation peut
avoir des effets peu évidents
Avantages de l'utilisation de la stratégie de
groupe
• Les stratégies de groupe sont des outils
d'administration très puissants. Vous pouvez les
utiliser pour appliquer divers paramètres à un
grand nombre d'utilisateurs et d'ordinateurs
• En général, les objets de stratégie de groupe sont
utilisés comme suit :
• Appliquer les paramètres de sécurité
• Gérer les paramètres d'application de bureau
• Déployer des applications logicielles
• Gérer la redirection de dossiers
• Configurer les paramètres réseau
Objets de stratégie de groupe

Un objet de stratégie de groupe est :


• Un conteneur pour un ou plusieurs paramètres de
stratégie
• Géré avec le GPMC
• Enregistré dans le conteneur de GPO
• Modifié avec le GPME
• Appliqué à un niveau spécifique dans la hiérarchie
d'AD DS
Étendue des objets de stratégie de groupe

• L'étendue d'un objet de stratégie de groupe


désigne l'ensemble des utilisateurs et ordinateurs
qui appliqueront les paramètres dans l'objet de
stratégie de groupe. Vous pouvez utiliser plusieurs
méthodes pour limiter l'étendue d'un objet de
stratégie de groupe :
• Liez l'objet de stratégie de groupe à un conteneur, tel
qu'une unité d'organisation
• Filtrez à l'aide des paramètres de sécurité
• Filtrez à l'aide des filtres WMI
Client de stratégie de groupe et extensions
côté client
1. Le client de stratégie de groupe récupère des GPO

2. Le client télécharge et met les GPO en cache

3. Les CSE traitent les paramètres

• Desparamètres de stratégie dans le nœud de


configuration de l'ordinateur sont appliqués au
démarrage du système puis toutes les 90 à
120 minutes
• Des paramètres de stratégie de configuration
utilisateur sont appliqués à l'ouverture de session
puis toutes les 90 à 120 minutes
Démonstration : Procédure de création d'un objet de
stratégie de groupe et configurer ses paramètres

Dans cette démonstration, vous allez


apprendre à :
• Utiliser la console GPMC pour créer un nouvel objet
de stratégie de groupe
• Configurer les paramètres de stratégie de groupe
Leçon 2: Implémentation et administration des
objets de stratégie de groupe

• Objets de stratégie de groupe basés sur un


domaine
• Stockage de l'objet de stratégie de groupe
• Objets de stratégie de groupe Starter
• Tâches courantes de gestion des objets de
stratégie de groupe
• Délégation de l'administration des stratégies de
groupe
• Gestion d'objets de stratégie de groupe avec
Windows PowerShell
Objets de stratégie de groupe basés sur un
domaine.
Stockage de l'objet de stratégie de groupe

Conteneur Stratégie de groupe

Objet de stratégie de groupe

• Stocké dans AD DS
• Fournit des informations de version

Modèle de stratégie de groupe


• Contient les paramètres de la
stratégie de groupe
• Enregistre le contenu à deux
emplacements
• Enregistré dans le dossier partagé
SYSVOL
• Fournit les paramètres de la
stratégie de groupe
Objets de stratégie de groupe Starter

Un objet de stratégie de groupe Starter :


• Enregistre les paramètres de modèle d'administration
sur lesquels les nouveaux GPO seront basés
• Peut être exporté vers des fichiers .cab
• Peut être importé dans d'autres domaines de l'entreprise

Exportation vers
Importation vers GPMC
un fichier cab

Objet de stratégie Charger


fichier .cab
de groupe Starter le fichier CAB
Tâches courantes de gestion des objets de
stratégie de groupe.
• GPMC fournit plusieurs options pour gérer l'état des objets de
stratégie de groupe
Sauvegarder des objets Restaurer des objets de
de stratégie de groupe stratégie de groupe

Copier des objets de Importer des objets


stratégie de groupe de stratégie de groupe
Délégation de l'administration des stratégies de
groupe
• La délégation des tâches liées aux objets de stratégie
de groupe permet à la charge de travail administrative
d'être distribuée à travers l'entreprise
• Les tâches de stratégie de groupe suivantes peuvent
être déléguées de manière indépendante :
• Création d'objets de stratégie de groupe
• Modification d'objets de stratégie de groupe
• Gestion des liens de stratégies de groupe pour un site, un
domaine ou une unité d'organisation
• Exécution des analyses de modélisation de stratégie de
groupe dans un domaine ou une unité d'organisation
• Lecture des données des résultats de stratégie de groupe
dans un domaine ou une unité d'organisation
• Création de filtres WMI sur un domaine
Gestion d'objets de stratégie de groupe avec
Windows PowerShell
En plus d'utiliser la console de gestion des stratégies de
groupe et l'éditeur de gestion des stratégies de groupe,
vous pouvez également exécuter des tâches
d'administration communes avec des objets de stratégie de
groupe à l'aide de Windows PowerShell
• Par exemple, la commande suivante crée un nouvel objet
de stratégie de groupe intitulé « Ventes » :
• New-GPO -Name Sales -commentaire « Voici l'objet de stratégie de
groupe Ventes »
• La commande suivante importe les paramètres des objets
de stratégie de groupe Ventes enregistrés dans le dossier
C:\Sauvegardes dans le nouvel objet de stratégie de
groupe Ventes :
• import-gpo -BackupGpoName Sales -TargetName NewSales -
chemin c:\sauvegardes
Leçon 3: Étendue de la stratégie de groupe et
traitement de la stratégie de groupe
• Liaisons des objets de stratégie de groupe
• Démonstration : Procédure de liaison des objets de stratégie de
groupe
• Ordre de traitement de la stratégie de groupe
• Configuration de l'héritage et de la priorité de l'objet de stratégie de
groupe.
• Utilisation du filtrage de sécurité pour modifier l'étendue de groupe
• Définition des filtres WMI
• Démonstration : Procédure de filtrage des stratégies
• Activer ou désactiver les objets de stratégie de groupe et les nœuds
d'objet de stratégie de groupe
• Traitement de stratégie par boucle de rappel
• Considérations pour les liaisons lentes et les systèmes déconnectés
• Identification du moment où les paramètres entrent en vigueur
Liaisons des objets de stratégie de groupe
Démonstration : Procédure de liaison des objets
de stratégie de groupe
Dans cette démonstration, vous allez apprendre à :
• Créer et lier des objets GPO à différents emplacements

• Désactiver une liaison d'objet de stratégie de groupe

• Supprimer une liaison d'objet de stratégie de groupe


Ordre de traitement de la stratégie de groupe

GPO1

Groupe local

GPO2

Site

GPO3

GPO4

Domaine

GPO5
Unité
d'organisation

Unité Unité
d'organisation d'organisation
Configuration de l'héritage et de la priorité de
l'objet de stratégie de groupe
1. L'application des objets de stratégie de groupe liés à chaque conteneur
a pour conséquence un effet de cumul appelé héritage
• Priorité par défaut : Local Site Domaine UO UO… (LSDUO)
• Vu sur l'onglet Héritage de stratégie de groupe

2. Ordre des liens (attribut de lien de l'objet de stratégie de groupe)


• Nombre inférieur Plus haut sur la liste Précédent

3. Bloquer l'héritage (attribut d'unité d'organisation)


• Bloque le traitement des objets de stratégie de groupe de niveaux supérieurs

4. Appliqué (attribut de lien de l'objet de stratégie de groupe)


• Les objets de stratégie de groupe « blast through » appliqués bloquent
l'héritage
• Les paramètres des objets de stratégie de groupe appliqués ont la préséance
sur les paramètres en conflit dans des objets de stratégie de groupe de
niveau inférieur
Utilisation du filtrage de sécurité pour modifier
l'étendue de groupe
• Autorisation d'appliquer la stratégie de groupe
• L'objet de stratégie de groupe a une liste de contrôle d'accès (onglet de
délégation Avancé)
• Par défaut : utilisateurs authentifiés : autoriser l'application de la stratégie de
groupe

• Portée limitée aux utilisateurs de certains groupes globaux


• Supprimer les utilisateurs authentifiés
• Ajouter des groupes globaux appropriés
• Les groupes doivent être globaux (les objets de stratégie de groupe ne se
limitent pas à l'étendue de domaine local)

• Portée limitée aux utilisateurs, à l'exception de ceux appartenant à certains


groupes
• Sous l'onglet Délégation, cliquez sur Avancé
• Ajouter des groupes globaux appropriés
• Refuser l'autorisation d'appliquer la stratégie de groupe
• N'apparaît pas sur l'onglet de délégation ou en filtrant la section
Définition des filtres WMI
Démonstration : Procédure de filtrage des
stratégies
Dans cette démonstration, vous allez apprendre à :
• Filtrer l'application de la stratégie de groupe en
utilisant le filtrage des groupes de sécurité
• Filtrer l'application de la stratégie de groupe en
utilisant le filtrage WMI
Activer ou désactiver les objets de stratégie de groupe et
les nœuds d'objet de stratégie de groupe
Traitement de stratégie par boucle de rappel
Considérations pour les liaisons lentes et les
systèmes déconnectés
Identification du moment où les paramètres
entrent en vigueur

• La réplication de l'objet de stratégie de groupe


doit avoir lieu
• Les modifications apportées au groupe doivent
être répliquées
• La stratégie de groupe doit être actualisée
• L'utilisateur doit fermer ou ouvrir une session, ou
l'ordinateur doit être redémarré
• Actualisation manuelle
• La plupart de CSE ne réappliquent pas les
paramètres de l'objet de stratégie de groupe
inchangés
Leçon 4: Dépanner l'application des objets de
stratégie de groupe

• Actualisation des objets de stratégie de groupe


• Jeu de stratégie résultant
• Générer des rapports RSoP
• Démonstration : Procédure d'exécution de
l'analyse de scénarios avec l'Assistant
Modélisation de stratégie de groupe
• Examiner les journaux des événements de
stratégie
Actualisation des objets de stratégie de groupe

• Quand vous appliquez des objets de stratégie de groupe,


souvenez-vous de ce qui suit :
• Les paramètres de l'ordinateur s'appliquent au démarrage
• Les paramètres utilisateur s'appliquent à la connexion
• Les stratégies sont actualisées à intervalles réguliers et
configurables
• Les paramètres de sécurité sont actualisés au moins toutes les
16 heures
• Les stratégies sont actualisées manuellement en utilisant :
• La commande Gpupdate
• L'applet de commande Windows PowerShell Invoke-Gpupdate
• Avec la nouvelle fonctionnalité d'actualisation des stratégies à
distance dans Windows Server 2012, vous pouvez actualiser les
stratégies à distance
Jeu de stratégie résultant

Windows Server 2012 fournit les outils suivants pour effectuer des
analyses RSoP :

GPO1

Groupe local

GPO2

Site

L'Assistant Résultats de GPO3


stratégie de groupe GPO4
L'Assistant Modélisation de Domaine
stratégie de groupe
GPResult.exe Unité
GPO5
d'organisation

Unité Unité
d'organisation d'organisation
Générer des rapports RSoP
Démonstration : Procédure d'exécution de l'analyse de
scénarios avec l'Assistant Modélisation de stratégie de groupe

Dans cette démonstration, vous allez


apprendre à :
• Utiliser GPResult.exe et l'assistant Création de rapport
de stratégie de groupe
• Utiliser l'assistant Modélisation de stratégie de groupe
Examiner les journaux des événements de
stratégie
Atelier pratique : Implémentation d'une
infrastructure de stratégie de groupe
• Exercice 1 : Création et configuration d'objets de stratégie
de groupe
• Exercice 2 : Gestion de l'étendue des objets de stratégie de
groupe
• Exercice 3 : Vérification de l'application des objets de
stratégie de groupe
• Exercice 4 : Gestion des objets de stratégie de groupe

Informations d'ouverture de session


Ordinateurs virtuels 22411B-LON-DC1
22411B-LON-CL1
Nom d'utilisateur ADATUM\Administrateur
Mot de passe Pa$$w0rd

Durée approximative : 90 minutes


Scénario d'atelier pratique

A. Datum est une société internationale d'ingénierie et de fabrication, dont le siège


social est à Londres, au Royaume-Uni. Un bureau informatique et un centre de données
sont situés à Londres pour assister le bureau de Londres et d'autres sites. A. Datum a
récemment déployé une infrastructure serveur et client Windows Server 2012

Vous avez été invité à utiliser la stratégie de groupe pour implémenter des paramètres
de sécurité standardisés afin de verrouiller des écrans d'ordinateur lorsque les
utilisateurs laissent des ordinateurs sans surveillance pendant 10 minutes ou plus. Vous
devez également configurer un paramètre de stratégie qui empêche l'accès à certains
programmes sur les stations de travail locales

Après un certain temps, il vous a été signalé qu'une application critique échoue au
démarrage de l'économiseur d'écran, et un ingénieur vous a demandé d'empêcher que
le paramètre ne s'applique à l'équipe d'ingénieurs de recherche qui utilise l'application
quotidiennement. Vous avez été invité également à configurer des ordinateurs de la salle
de conférence de sorte qu'ils utilisent un délai d'expiration de 45 minutes

Après la création des stratégies, vous devez évaluer le jeu de stratégies résultant pour les
utilisateurs dans votre environnement afin de vérifier que l'infrastructure de stratégie de
groupe est optimisée et que toutes les stratégies sont appliquées comme prévu
Contrôle des acquis et éléments à retenir

• Questions de contrôle des acquis


• Outils
• Problèmes courants et conseils relatifs à la
résolution des problèmes

Vous aimerez peut-être aussi